Den registreredes rettigheder

RETTIGHEDSREGLER

Data­be­skyt­tel­ses­for­ord­nin­gen brin­ger kontrol­len med data tilbage til den regi­stre­re­de. Det bety­der, at de regi­stre­rede blandt andet har en række ret­tig­he­der, her­un­der navn­lig ret til gen­nem­sig­tig­hed, i for­hold til de oplys­nin­ger, der behand­les om den pågæl­den­de.

Gen­nem­sig­tig­hed giver for det første den regi­stre­re­de mulig­hed for at vurdere, om man på de givne betin­gel­ser i det hele taget vil afgi­ve oplys­nin­ger til den data­ansvar­lige. For det andet kan den regi­stre­re­de kon­trol­le­re, at oplys­nin­ger­ne, der behand­les, er rig­ti­ge, og at behand­lin­gen i det hele taget er lov­lig.

I den sammen­hæng skal man som data­ansvar­lig navn­lig være opmærk­som på plig­ten til selv­stæn­digt at oplyse den regi­stre­rede om mulig­he­den for at gøre indsi­gelse efter data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 21, hvis grund­la­get for behand­lin­gen blandt andet er bestem­mel­sen i arti­kel 6, stk. 1, litra f. Efter denne bestem­melse kan man behandle ikke-følsomme oplys­nin­ger, hvis man har en legi­tim inter­esse, medmin­dre den regi­stre­re­des inter­es­ser går forud herfor.

NY PRAKSIS VED BEHANDLING AF FØLSOMME OPLYSNINGER

Yder­li­gere skal man være opmærk­som på, at Data­til­sy­net har ændret sin prak­sis vedrø­rende hjem­len til at behandle oplys­nin­ger. Tidli­gere forud­satte man, at hvis der var hjem­mel til at behandle følsomme oplys­nin­ger efter arti­kel 9 (eksem­pel­vis man skal bruge oplys­nin­gerne til at gøre et rets­krav gældende), så var der også hjem­mel til at behandle de almin­de­lige oplys­nin­ger efter arti­kel 6.

Med den ændrede prak­sis skal der nu findes selv­stæn­digt hjem­mel i arti­kel 6 til at behandle de almin­de­lige oplys­nin­ger. Arti­kel 6 har ikke en hjem­mel, der svarer til rets­kravs­be­stem­mel­sen i arti­kel 9, stk. 2, litra f. Ofte vil det derfor være inter­es­se­af­vej­nings­hjem­len i arti­kel 6, stk. 1, litra f, man skal anvende. Det bety­der til gengæld, at man klart og tyde­ligt skal orien­tere de regi­stre­rede om indsi­gel­ses­ret­ten i arti­kel 21 for så vidt angår de almin­de­lige oplys­nin­ger.

Læs om Data­til­sy­nets ændrede prak­sis her

DEN REGISTREREDE HAR NAVNLIG FØLGENDE RETTIGHEDER

Den data­ansvar­li­ge skal på eget ini­ti­a­tiv oply­se den regi­stre­re­de herom, hvis der ind­sam­les og behand­les oplys­nin­ger om den pågæl­den­de. Den regi­stre­rede skal bl.a. oply­ses om formå­let med behand­lin­gen, hjem­mels­grund­la­get, kate­go­rier af modta­gere, hvor­når den regi­stre­re­des oplys­nin­ger slet­tes, og den regi­stre­re­des rettig­he­der.

Den regi­stre­re­de kan til hver en tid bede den data­ansvar­li­ge oply­se, om der behand­les oplys­nin­ger om ved­kom­men­de og i så fald hvil­ke oplys­nin­ger, til hvil­ket for­mål og kate­go­ri­er af even­tu­el­le mod­ta­ge­re af oplys­nin­ger­ne mv. Ret til ind­sigt fin­der man også i sær­lov­giv­nin­gen – eksem­pel­vis har man efter sund­heds­lo­v­giv­nin­gen ret til ind­sigt i sine patientjour­na­ler.

Den regi­stre­rede kan gøre indsi­gelse mod, at oplys­nin­ger om vedkom­mende behand­les og kan også kræve en behand­ling begræn­set til færre oplys­nin­ger.

Den regi­stre­re­de kan kræve, at even­tu­elt urig­ti­ge eller vild­le­den­de oplys­nin­ger berig­ti­ges, slet­tes eller blo­ke­res, og at even­tu­el­le tred­je­mænd, der måtte have mod­ta­get oplys­nin­ger­ne, bli­ver ori­en­te­ret om, at oplys­nin­gerne er berig­ti­get eller slet­tet.

Den regi­stre­re­de kan til enhver tid til­ba­ge­kal­de et samtyk­ke til behand­ling af oplys­nin­ger, hvil­ket de klart og utve­ty­digt skal infor­me­res om i forbin­delse med, at man indhen­ter et samtykke.

Den regi­stre­rede kan desu­den klage til Data­sy­net over en behand­ling af den pågæl­den­des personoplysninger.

HVORDAN SIKRER MAN OVERHOLDELSE AF RETTIGHEDSREGLERNE?

For at kunne opfyl­de ret­tig­heds­reg­ler­ne bør man have kort­lagt kate­go­ri­erne af regi­stre­rede i ens orga­ni­sa­tion, samt hvilke oplys­nin­ger man indsam­ler og til hvilke formål. Det skal også klar­læg­ges, hvor oplys­nin­gerne befin­der sig i orga­ni­sa­tio­nens tekni­ske syste­mer – det kan være flere forskel­lige steder alt afhæn­gig af, om der er tale om en medar­bej­der, en kunde eller en anden erhvervs­mæs­sig kontakt.

Deru­d­over bør man have gen­nem­gå­et og opti­me­ret pro­ce­du­rer­ne for registrering/opbevaring af oplys­nin­ger, så der bliver strin­gens og samling på oplys­nin­gerne, lige­som man skal have klar­lagt opgave-/ansvarsfordelingen i orga­ni­sa­tio­nen.

Den konkrete og prak­ti­ske opfyl­del­se af en rettig­hed kan dog stadig rejse van­ske­lig­he­der i for­hold til form og ind­hold. I udgangs­punk­tet omfat­ter ret­ten til ind­sigt eksem­pel­vis alle oplys­nin­ger, altså også oplys­nin­ger regi­stre­ret på medar­bej­de­res loka­le drev, lige­som per­so­ner, der omta­les i andres sager, i udgangs­punk­tet skal oply­ses om behand­lin­gen og kan kræve ind­sigt. Syste­met bør derfor indret­tes sådan, at alle – også tred­je­par­ter – kan søges frem.

Man bør desu­den så vidt muligt samle alle regi­stre­rin­ger i sags­be­hand­lings­sy­ste­mer og instru­ere sit perso­nale om, at klien­ters, kunders eller medlem­mers personoplysninger ikke må arkiveres/opbevares på lokale drev eller i ex. mail­sy­ste­met.

 

UNDTAGELSER TIL DEN REGISTREREDES RETTIGHEDER

Af hen­syn til ikke at gøre reg­ler­ne unø­digt byr­de­ful­de og omkost­nings­tun­ge, gæl­der der en række und­ta­gel­ser. Van­ske­lig­he­der­ne ved at opfyl­de en oplys­nings­pligt over­for en mere peri­fer regi­stre­ret vil eksem­pel­vis ikke altid stå mål med det udbyt­te, den pågæl­den­de får af under­ret­nin­gen. Der skal heref­ter ikke gives oplys­ning, hvis det vil kræve en ufor­holds­mæs­sig stor indsats.

Deru­d­over gælder et natur­ligt hensyn til tavs­heds­pligt og beho­vet for fortro­lig­hed. Der kan være uhel­di­ge kon­se­kven­ser forbun­det med en under­ret­ning efter oplys­nings­plig­treg­lerne eller en opfyl­delse af en indsigtsan­mod­ning, hvis den regi­stre­re­des oplys­nin­ger eksem­pel­vis ind­går i en sag, en fagfor­e­ning behand­ler for et medlem, og hvis hensy­net til medlem­met tilsi­ger, at sagen holdes fortro­lig.

Før man und­la­der at opfyl­de en ret­tig­hed, skal man dog grun­digt over­ve­je, om und­ta­gel­ses­be­tin­gel­sen nu også er opfyldt. Hoved­for­må­let med data­be­skyt­tel­ses­lo­v­giv­nin­gen er at beskyt­te den regi­stre­re­de, hvil­ket i sig selv inde­bæ­rer, at undta­gel­serne er snævre. Hertil kommer, at data­be­skyt­tel­sesforord­nin­gen inde­bæ­rer et bøde­ni­veau af en hidtil uset stør­rel­se inden for data­be­skyt­tel­ses­ret­ten.

Det er derfor en god idé at søge juri­disk bistand, hvis man modta­ger en klage eller en anmod­ning fra en regi­stre­ret, idet sådanne henven­del­ser kan rejse en række GDPR-relaterede spørgs­mål, man ikke altid lige kan finde svar på.

 

KONTAKT OS

Har du derfor spørgs­mål eller brug for hjælp, er du velkom­men til at kontakte os for en ufor­plig­tende drøf­telse af dine mulig­he­der.

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev